草蛇灰线:从《个人信息保护法(草案)》看2021年几个数据问题的发展和走向(中)

作者:数据合规团队

观点

本文为《草蛇灰线:从<个人信息保护法(草案)>看2021年几个数据问题的发展和走向》第二篇。在上一篇,我们分析了数据跨境传输和新基建与数据安全问题。本篇中,我们将与您共同探讨我国对人工智能技术的规制体系以及个人信息保护的行政监管问题。

第二篇:人工智能与行政监管

一、 人工智能(AI)技术

1.   我国关于AI技术的法律规制体系

人工智能是2020年最热门的话题之一。2020年新冠疫情的爆发催生了大量AI技术需求场景,而人脸识别技术更是借疫情防控的契机被广泛应用。然而,正如我们曾在《发展与平衡:关于AI技术的观察和思考》 一文中所表达的,由于涉及大量敏感乃至道德伦理问题,AI技术的发展和应用必然会带来各种争议甚至冲突,而世界各国对于如何就此进行规制都仍在讨论和探索中,尚未形成统一观点。

我国对AI技术的研究和发展始终持鼓励态度。早在1999年,《国务院关于下达<国家中长期科学技术发展纲领>的通知》(国发〔1992〕18号)中就提出,“要研究新一代计算机技术,发展中文信息处理技术、人机界面技术和人工智能技术。”2017年,国务院发布《新一代人工智能发展规划》(国发〔2017〕35号,“规划”),将人工智能定位为“国际竞争的新焦点”、“引领未来的战略性技术”,提出“将人工智能发展放在国家战略层面系统布局、主动谋划”,“加快人工智能科技成果商业化应用”。规划同时指出人工智能可能带来“冲击法律与社会伦理、侵犯个人隐私”等问题,“在大力发展人工智能的同时”,必须“加强人工智能相关法律、伦理和社会问题研究,建立保障人工智能健康发展的法律法规和伦理道德框架”,“确保人工智能安全、可靠、可控发展”。根据规划分三步走的战略目标,国家计划在第二步,即到2025年,“初步建立人工智能法律法规、伦理规范和政策体系,形成人工智能安全评估和管控能力”。

现实中,我国目前尚未制定专门针对AI技术的法律法规。基于目前现有相关法律法规、国家标准及其草案或征求意见稿,我国现阶段及未来就AI技术涉及的数据问题,可能主要从四个维度予以规制,即个人信息保护、知识产权、不正当竞争和反垄断。本文仅从与数据相关的角度,就AI技术与个人信息保护、不正当竞争和反垄断三个问题展开讨论。

2. AI技术与个人信息保护

相较于具有强制力的法律、行政法规、部门规章等立法,我国更早在国家标准、技术规范层面探讨对AI技术应用的规制。例如,《个人信息安全规范》《信息安全技术 个人信息安全影响评估指南(征求意见稿)》《信息安全技术 个人信息告知同意指南(征求意见稿)》等国家标准中都对此有所涉及。

在法律层面,《民法典》首次尝试对AI技术涉及的人格权问题进行规范,禁止利用深度伪造技术侵犯公民肖像权和声音权[1]。

《个人信息保护法(草案)》未就AI技术对个人信息的影响做出系统化的专门规定,而主要就自动化决策和人脸识别技术涉及的个人信息保护事项做出规定。

对于自动化决策,《个人信息保护法(草案)》要求进行事前风险评估并对个人信息处理情况进行记录;个人信息处理者应保证决策的透明度和处理结果的公平合理;个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定;通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项[2]。上述规定基本上延续了《个人信息安全规范》关于自动决策所确立的原则。

关于人脸识别技术,2020年,因这一类AI技术引发的争议事例频发。南京售楼处使用人脸识别系统区分客源、东莞星级公厕“人脸识别”取厕纸等事件均引发社会热议,有关地方主管部门也陆续采取措施,对相关事件展开调查并做出处理[3];被称为中国“人脸识别第一案”的郭兵诉杭州野生动物世界有限公司一案二审也于2020年12月在杭州市中级人民法院公开开庭审理[4]。

上述事件反映出目前关于人脸识别技术的争议焦点主要集中在以下几个方面:其一是特定场景下收集人脸识别信息是否符合必要原则,个人信息处理者是否进行了事前的客观评估和论证;其二则是个人信息处理者对其处理人脸识别信息的规则是否向个人信息主体履行了充分告知义务;其三,对于处理人脸识别信息,个人信息处理者是否取得个人信息主体的自愿、明确同意,而不存在强制收集的情形。对于上述问题,尽管《个人信息安全规范》等国家标准曾提出相应要求,但由于其不具有强制执行力,因此在实践中对个人信息的保护力度有限。

《个人信息保护法(草案)》将人脸识别信息纳入到敏感个人信息范畴中加以保护,对个人信息处理者的具体要求包括:仅当具有特定的目的和充分的必要性时,方可处理;在处理前,应进行事前风险评估,向个人信息主体履行告知义务,包括处理敏感个人信息的必要性以及对个人的影响;基于个人同意处理人脸识别信息的,应取得其单独同意;在处理过程中,还需对个人信息处理情况进行记录;此外,法律、行政法规规定应当取得相关行政许可或者作出更严格限制的,从其规定[5]。可以预见,如果《个人信息保护法(草案)》的上述条款最终通过审议并实施,则较之《网络安全法》《民法典》中关于个人信息保护的规定,个人信息处理者在处理人脸识别信息时需要达到的标准将更为具化,相关企业有必要采取措施落实法定义务。

此外,2020年11月,全国信息安全标准化技术委员会还发布了《网络安全标准实践指南—人工智能伦理道德规范指引(征求意见稿v1.0-202011)》,针对可能产生的AI伦理道德问题,给出了安全风险警示,提出从失控性风险、社会性风险、侵权性风险、歧视性风险、责任性风险等五个角度对AI相关活动开展风险分析,并提供了开展AI研究开发、设计制造、部署应用等相关活动的规范指引,值得关注。

《个人信息保护法(草案)》关于人脸识别技术的另一条重要规定是第二十七条。该条款首次提出,在公共场所安装图像采集、个人身份识别设备,其目的应仅为维护公共安全所必需,所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。考虑到获取个人单独同意的可操作性有限,这一规定可能会对零售业将人脸识别、个人身份识别设备用于识别客户、统计客流、推广营销等用途造成较大影响,并同时影响到从事相关技术、产品开发和服务的企业。

3. AI技术与不正当竞争

对于通过AI技术不当获取或使用他人数据,目前在我国主要按不正当竞争行为处理。这里所说的“数据”有别于上一节中讨论的“个人信息”,主要指企业合法控制的数据,包括企业付出人力、物力、财力,经过长期经营积累而形成的数据资源以及在数据资源基础上通过一定的算法形成的数据产品。

此类代表性案例包括“淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争纠纷案”(2017~2019年)[6]和“深圳市腾讯计算机系统有限公司、腾讯科技(深圳)有限公司诉浙江搜道网络技术有限公司、杭州聚客通科技有限公司不正当竞争纠纷案”(2019~2020年)[7]等。在上述案例中,法院均对企业对于其合法开发的数据产品、积累聚集而形成的数据资源所享有的独立的财产权益(主要为竞争权益)予以承认。但由于《反不正当竞争法》并未将此类行为列入具体的不正当竞争行为,因此目前法院通常仅能依据《反不正当竞争法》第二条的原则性规定对企业的数据财产权益加以保护。

我们注意到,在2020年10月9日发布的《上海市反不正当竞争条例(修订草案)(征求意见稿)》中,曾尝试针对数据的竞争权益做出规定。该征求意见稿第二十一条规定:“经营者利用技术手段获取其他经营者网络数据的,不得违反相关法律法规和商业规则、行业惯例。使用获取的数据,不得损害被获取方的合法权益,不得扰乱公平竞争秩序。”根据其第三十八条,违反该条例,“不当获取、使用其他经营者网络数据,扰乱公平竞争秩序的”,“监督检查部门应当责令经营者停止违法行为,处十万元以上五十万元以下罚款;情节严重的,处五十万元以上三百万元以下罚款”。但在最终发布并于2021年1月1日生效的《上海市反不正当竞争条例》中,上述规定已被取消。对于利用技术手段不当获取或使用他人数据的行为,仍仅能依据总则部分的原则性规定进行规制。

此外,自2020年9月20日起,《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》正式实施。根据其第一条规定,与技术有关的算法、数据、计算机程序及其有关文档等信息以及与经营活动有关的数据可认定为《反不正当竞争法》第九条第四款所称的“技术信息”、“经营信息”,从而被纳入商业秘密范畴。据此,企业对于其所控制的相关数据,除可按照《反不正当竞争法》第二条的原则性规定主张竞争权益外,如果此类数据已被企业采取了相应保密措施、不为公众所知悉且具有商业价值,则企业还可依据《反不正当竞争法》第九条关于商业秘密的规定维护自身权益。

4.  AI技术与反垄断

随着平台经济的发展,平台经济领域不断出现“大数据杀熟”、限定交易、拒绝交易等涉嫌垄断行为,已引起各国反垄断执法机构高度关注。2020年,亚马逊、苹果、脸书、谷歌等互联网巨头在全球多地频遭反垄断调查。

在国内,国家市场监督管理总局于2020年11月10日发布了《关于平台经济领域的反垄断指南(征求意见稿)》,禁止具有竞争关系的平台经济领域经营者利用数据和算法达成、实施垄断协议,或基于大数据和算法,对交易条件相同的交易相对人实施差别待遇,排除、限制市场竞争。

随后,国家市场监督管理总局于2020年12月24日对阿里巴巴实施“二选一”等涉嫌垄断行为立案调查;2021年1月对唯品会涉嫌“二选一”的不正当竞争行为立案调查,并于2月对唯品会作出行政处罚决定,处罚金额300万元。2021年2月7日,北京知识产权法院正式立案受理抖音诉腾讯垄断纠纷案。同日,《国务院反垄断委员会关于平台经济领域的反垄断指南》正式发布,上述征求意见稿中有关禁止垄断协议、限定交易、“大数据杀熟”的规定开始实施,在《反不正当竞争法》《电子商务法》《消费者权益保护法》之外进一步加强对平台经济的监管。

此外,根据全国人大常委会法工委2021年度立法工作计划,全国人大常委会在2021年除将继续审议《数据安全法》、《个人信息保护法》外,还将启动修改《反垄断法》。可以预见,互联网平台企业在2021年将面临更加严格的监管和司法环境。

二、 行政监管

1. 行政监管是最能有效监管、打击涉个人信息违法行为的手段

随着我国《民法典》出台,尽管个人信息并未如同隐私权被列为一种民事权利即人格权中的一种,但是《民法典》人格权编明确了个人信息权益受到保护,并确立了信息处理者处理个人信息的基本原则(如告知处理个人信息的规则、目的、方式等)、个人信息主体所享有的权利以及信息处理者的义务。《民法典》系从民事角度给予个人信息权益方面的保护,但通常而言,个人难以感知信息技术处理个人信息是否存在违法性,若非一些特定场合(比如个人信息泄漏、因个人信息泄漏导致欺诈事件),个人难以知晓自身个人信息权益受到了侵害,且个人提起民事诉讼耗费时间、精力成本以及面临的举证难度较大。

因此,除了达到刑事犯罪程度由国家公权力机关提起控诉外,个人诉诸行政监管部门调查处罚信息处理者的违法行为,以及行政监管部门依职权主动行使个人信息保护方面的监督、管理和执法,在实践中成为打击个人信息违法违规行为的最强有力手段之一。2020年,我国各有关主管行政机关仍继续保持打击涉个人信息违法行为的力度;有关个人信息保护的部门法立法活动活跃,有的行业领域如金融领域内的《中国人民银行金融消费者权益保护实施办法》系提升原来的部门规范效力层级至部门规章,以此作为主管部门实施行政处罚的法律依据,预示着金融领域内包括消费者个人信息权益在内的消费者权益将得到更大程度的行政执法保护。

2.  《个人信息保护法(草案)》的规定如出台将可能大幅增加行政执法案件数量

《个人信息保护法(草案)》中就履行个人信息保护职责的部门专章作出规定,规定了个人信息行政监管部门及其职责,规定任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人[8]。如果该规定届时出台,意味着行政监管部门除了主动执法外,应个人投诉、举报,将更多地从事“被动”执法,个人信息违法行为行政执法案件数量有可能呈上升趋势。

3. 个人信息保护的多头行政监管仍是未来的趋势

作为网络安全及信息保护的基本法,《网络安全法》第8条奠定了网络安全及个人信息保护方面的多头监管制度,即国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依照该法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。

在2020年初《关于加强个人信息保护行政监管的提案》(以下称“《行政监管提案》”,详情请参阅《天达共和数据合规资讯月报2020年第8期》 “热点评述”)中,我们就曾指出目前在数据监管领域因多头监管导致出现交叉执法、空白执法现象,不仅不利于保护公民权益,行政监管部门的公信力也因此受到负面影响。《个人信息保护法(草案)》公布前,曾有消息称《个人信息保护法》将确立统一负责个人信息保护、监督、执法工作机构的原则。但从目前情况来看,这一问题尚未在立法层面得到解决:被业界称为《网络安全法》两部支撑性法律之一的《个人信息保护法》,其草案延续了《网络安全法》的多头监管思路[9];《网络安全法》另一部支撑性法律即《数据安全法》的草案也规定了各有关部门在各自职责范围内承担数据安全的监管职责[10]。

因此,目前立法状态预示着我国未来在数据监管领域仍然是行政监管“九龙治水”格局。然而,多头监管之下,可能难免产生行政监管部门“打架”竞相行使行政监管管辖权的问题。比如,面向消费者销售产品的自营电商平台违法处理消费者个人信息,应由市场监督管理局还是工信部予以处理?即便《个人信息保护法(草案)》的内容未来作为行政监管部门执法的法律依据,恐怕仍难以避免多个主管部门均享有行政监管职权、难以厘清谁有权实际行使处理个人信息违法行为的情况,因此,如何设计不同行政监管部门的联动机制,应为“和谐”处理个人信息违法行为的应有之义。

4. 《个人信息保护法(草案)》的执法机制

《个人信息保护法(草案)》就履行个人信息保护职责的部门履行其职责可采取的措施作出明确规定,如询问、调查/复制有关资料、现场检查,查封/扣押有关设备、物品等;同时还规定了约谈机制,即履行个人信息保护职责的部门可依照规定的权限和程序对个人信息处理者的法定代表人或主要负责人进行约谈[11]。

约谈机制并非《个人信息保护法(草案)》所创新的一种机制,我国有关行政监管部门已有开展约谈的部门立法和执法实践。《个人信息保护法(草案)》虽引入约谈机制,但未明确约谈的具体程序、流程和要求,对于无相关部门立法的履行个人信息保护职责的行政监管部门而言,需要制定相应的部门规范性文件以确保执行。我们不排除未来有关行政监管部门可能修改有关部门立法以确保与《个人信息保护法》相协调的情形。

针对个人信息违法行为的执法机制的明确和未来的进一步深化,使得企业未来将面临更加密集的个人信息行政监管,企业只有确保业务运营相关的个人信息处理合法合规,才能顺畅地开展业务。

5. 个人信息行政监管的执法依据

根据《个人信息保护法(草案)》,线上个人信息的保护延伸至线下,作为行政监管部门的执法依据,其将为个人信息保护的行政监管,包括行政执法,带来深远的影响,即将填补个人信息保护行政监管执法依据存在某些缺失的情况。

我国目前对于个人信息保护的行政监管执法主要依据为《网络安全法》及《网络安全法》实施之前及之后一些行业部门领域的行政法规或部门规章。《网络安全法》主要规制网络运营者处理个人信息的行为,对于非网络运营者等线下场景非法处理个人信息的情形,有关主管部门无法援引《网络安全法》而仅能援引其所在行业领域的部门法(行政法规或部门规章),而有些行业领域的行政法规、部门规章仅针对个人信息保护及行政监管作出原则性的规制,对个人信息的保护规定不够详细具体。

未来《个人信息保护法》出台,其作为各行政监管部门执法的法律依据,线上线下的个人信息违法行为均可根据《个人信息保护法》纳入监管,对于线上和线下场景的违法行为执法活动将起到统一监管尺度的作用。

6. 个人信息违法成本大幅提高将促进企业合规意识增强

《个人信息保护法(草案)》将个人信息违法行为的行政处罚上限提升到企业五千万元以下或者上一年度营业额百分之五以下罚款,直接负责的主管人员和其他直接责任人员处最高一百万元以下罚款。且,违反该法的违法行为,依照有关法律、行政法规的规定记入信用档案,并予以公示[12]。

行政处罚力度的增强,将大大提高企业的违规违法成本。一旦行政监管机构开出“天价”罚单,严重的违规成本将大为增强企业开展个人信息保护方面的合规意识,企业将不得不从法律、合规、技术等层面考虑如何提升、加强对个人信息的保护。


******

下一篇我们将讨论数据权利归属与公共数据相关问题,敬请期待。

******



注释:

[1] 《民法典》第一千零一十九条、第一千零二十三条

[2] 《个人信息保护法(草案)》第二十五条、第五十四条

[3] 详见https://mp.weixin.qq.com/s/Txea80NCr1XUIAb1ei5dZQ、https://mp.weixin.qq.com/s/VlzWU-wZLVtbOa0BTbx0GA

[4] 详见https://m.mp.oeeee.com/a/BAAFRD000020201229405908.html?layer=2&share=chat&isndappinstalled=0&wxuid=ogVRcdFbaIOVF0aYajIuvLEGBgIc&wxsalt=cd0607

[5] 《个人信息保护法(草案)》第二章第二节、第五十四条

[6] 本案一审判决详见杭州铁路运输法院(2017)浙8601民初4034号《民事判决书》;二审判决详见浙江省杭州市中级人民法院(2018)浙01民终7312号《民事判决书》;再审裁定详见浙江省高级人民法院(2019)浙民申1209号《民事裁定书》。

[7] 本案一审判决详见杭州铁路运输法院(2019)浙8601民初1987号《民事判决书》;二审裁定详见浙江省杭州市中级人民法院(2020)浙01民终5889号《民事裁定书》。

[8] 《个人信息保护法(草案)》第六十一条

[9] 《个人信息保护法(草案)》第五十六条

[10] 《数据安全法(草案)》第六条、第七条

[11] 《个人信息保护法(草案)》第五十九条、第六十条

[12] 《个人信息保护法(草案)》第六十二条、第六十三条


作者

作者动态

作者其他文章

相关领域

Copyright © 1998-2018 天达共和律师事务所 京ICP备11012394号
联系我们 关注公众号
联系我们